Actualizaciones críticas para Chrome y Firefox

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 41.0.2272.118 para corregir cuatro nuevas vulnerabilidades, incluyendo la presentada en el Pwn2Own.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cuatro vulnerabilidades, se facilita información de dos de ellas.

Se corrigen una vulnerabilidad, con CVE-2015-1233, que mediante una combinación de fallos en V8, IPC y Gamepad podría permitir la ejecución remota de código fuera de la sandbox. También se ha corregido la vulnerabilidad de condición de carrera en la GPU mostrada por JungHoon Lee (lokihardt) en el Pwn2Own 2015, a la que se le ha asignado el CVE-2015-1234.

Mozilla publica Firefox 37 y corrige 17 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 37 de Firefox, junto con 13 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey. Esta nueva versión añade protección contra la suplantación de sitios a través OneCRL, reporte de errores de certificados SSL y se desactivan las versiones inseguras de TLS.

Por otra parte, se han publicado 13 boletines de seguridad (del MSFA-2015-30 al MSFA-2015-42). Cuatro de ellos están considerados críticos, dos importantes, cinco moderados y dos de gravedad baja. En total se corrigen 17 nuevas vulnerabilidades en los diferentes productos Mozilla.

Las vulnerabilidades críticas residen en dos errores de confusión de tipos que darían lugar a un uso de memoria después de liberarla (CVE-2015-0803 y CVE-2015-0804). Otros dos problemas de corrupción de memoria durante la generación de gráficos 2D por problemas en Off Main Thread Compositing. Un uso de memoria después de liberarla en el tratamiento de determinados archivos MP3 con el plugin Fluendo MP3 para GStreamer en Linux (CVE-2015-0813) y diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-0814 y CVE-2015-0815).

Otras vulnerabilidades corregidas residen en un salto de la política de mismo origen, una falsificación del cursor con Flash ý contenido html (solo afecta en plataformas OS X), una lectura fuera de límites en la librería de gestión de color QCMS, documentos cargados a través de "resource:" pueden cargar páginas privilegiadas o posibles ataques de envenenamiento DNS en Android por una debilidad en el generador de números pseudoaleatorios

Fuente: Hispasec I y II

Suscríbete a nuestro Boletín